Passwortlos:
Ein umfassender Leitfaden zur passwortlosen Authentifizierung
Als IT-Beauftragter haben Sie wahrscheinlich schon viel darüber gehört, wie wichtig die Maximierung der Sicherheit bei möglichst wenig Reibungspunkten für Nutzer ist. Bestimmt sind Sie auch bereits mit dem Begriff „passwortlose Authentifizierung“ vertraut. Die passwortlose Authentifizierung gilt als optimale Lösung für ein ausgewogenes Verhältnis zwischen Sicherheit und Online-Erfahrung, da sie das Risiko eindämmt und die Reibung mindert.
Die Vorstellung, ganz auf Passwörter zu verzichten, wirft jedoch zumeist einige Fragen auf, die es zu beantworten gilt. Was genau bedeutet es genau, sich ohne Passwörter zu authentifizieren? Ist das weniger sicher? Wie funktioniert das? Hier können Sie sich ausführlich darüber informieren, welche positiven Auswirkungen eine passwortlose Anmeldung sowohl für die Benutzererfahrung als auch für Ihre gesamte Sicherheitslage haben kann.
Was ist eine passwortlose Authentifizierung?
Gemäß dem Secret Security Wiki handelt es sich bei der passwortlosen Authentifizierung um jede Methode, bei der die Identität eines Benutzers überprüft wird, ohne dass er ein Passwort eingibt. Das leuchtet ein. Wie diese passwortlose Lösung implementiert werden soll, wissen allerdings die Wenigsten. Es handelt sich hierbei auch nicht um ein Produkt oder eine Technologie an sich, wie bei der Multifaktor-Authentifizierung (MFA) oder dem single sign-on (SSO), sondern um ein angestrebtes Ziel beziehungsweise um ein wünschenswertes Ergebnis.
Mit der passwortlosen Authentifizierung sollen Technologien bereitgestellt und Anwendungsfälle unterstützt werden, die eine Verwendung von Passwörtern reduzieren und nach Möglichkeit vollständig eliminieren. Dieses wichtige Ziel erklärt sich durch die bekannten Probleme und Sicherheitsrisiken, die der Einsatz von Passwörtern mit sich bringt.
So ist zum Beispiel die Gesichtserkennung eine Methode, die passwortlose Authentifizierung zu realisieren. Eine weitere Option wäre die intelligente Verhaltensanalyse von Benutzeraktivitäten zur Ermittlung der Authentifizierungsanforderungen (auch als adaptive MFA bezeichnet).
Das wichtigste Anliegen bei der passwortlosen Authentifizierung besteht darin, die Datensicherheit zu gewährleisten oder zu verbessern, indem Passwörter überflüssig gemacht werden. Die passwortlose Anmeldung basiert auf der Fähigkeit, zusätzliche Attribute über die Benutzeridentität zusammenzustellen, wie beispielsweise einen Fingerabdruck oder eine Gerätekennung. Wenn Ihnen diese Funktionalitäten zur Verfügung stehen, können Sie die passwortlose Anmeldung ohne Einbußen bei der Sicherheit einbinden.
Warum ist die passwortlose Authentifizierung einer Anmeldung mit Passwort vorzuziehen?
Vielleicht denken Sie jetzt, die „passwortlose Authentifizierung“ klingt gar nicht so schlecht, fragen sich aber gleichzeitig, ob sie denn auch wirklich notwendig ist. Angesichts der Gefahren, die von Passwörtern ausgehen, sollte dies für alle Unternehmen eine Priorität sein.
61% aller Datenschutzverletzungen sind mit der unberechtigten Verwendung von Anmeldedaten verbunden.
2021, Data Breach Investigations Report, Verizon
Auch wenn Passwörter noch immer als notwendiges Übel betrachtet werden, dürfen die vielen inhärenten Risiken nicht ignoriert werden. Erstens sind Passwörter zu leicht zu stehlen oder zu erraten. Der Verizon Data Breach Investigations Report 2021 bestätigt dies und stellt fest, dass 61% der Datenschutzverletzungen im Jahr 2020 auf die Verwendung nicht autorisierter Zugangsdaten zurückzuführen waren.
Obwohl man versucht, das Bewusstsein für die Sicherheit von Passwörtern zu schärfen und die Richtlinien zu stärken, verlassen sich die Benutzer weiterhin auf ungenügende und riskante Passwortpraktiken. Es wird geschätzt, dass der durchschnittliche Benutzer 200 Passwörter verwalten muss und sich diese Zahl bis 2023 sogar verdoppeln könnte. Daher sind viele Passwörter schwach oder werden für mehrere Websites verwendet.
Manche Unternehmen bemühen sich, dieser Tendenz entgegenzuwirken und verlangen eine höhere Komplexität der Passwörter und häufigere Änderungen. Da dies jedoch die Wahrscheinlichkeit erhöht, dass die Benutzer ihre Passwörter aufschreiben oder dasselbe Passwort auf mehreren Websites verwenden, wird das Problem dadurch eher verschärft als gelöst. Zusätzliche Kosten entstehen, da die Helpdesks die vermehrten Anforderungen nach Passwortrücksetzung auffangen müssen – ein in der Regel beschwerlicher und kostspieliger Vorgang für alle Beteiligten.
Angesichts der Sicherheitsrisiken und der Probleme mit dem Anwendungskomfort, die Passwörter mit sich bringen, stellt die passwortlose Authentifizierung eine wesentlich bessere und sicherere Methode dar, um zu gewährleisten, dass nur die richtigen Personen aus den richtigen Gründen auf die für sie bestimmten Dinge zugreifen.
Welche Vorteile hat die passwortlose Authentifizierung?
Der Verzicht auf Passwörter bedeutet eine stärkere Sicherheitslage
Verlorene und gestohlene Passwörter haben seit jeher die Sicherheit gefährdet. Indem Sie sich von Passwörtern soweit es geht unabhängig machen oder sie sogar ganz abschaffen, fahren Sie Ihre Attraktivität für Cyberkriminelle auf ein Minimum zurück und verbessern Ihre Sicherheitslage. Das Ersetzen der Passwörter durch Sicherheitsfaktoren, die mehr Sicherheit bieten, macht den Weg zum Erfolg für Angreifer schwerer und kostspieliger. Wenn fortschrittliche Authentifizierungsmechanismen wie das Nachverfolgen von Risikosignalen und die Vertrauenswürdigkeit von Geräten hinzukommen, erzielen Sie noch mehr Sicherheit bei der Anmeldung.
Der Verzicht auf Passwörter sorgt für bessere Benutzererfahrungen
Passwörter sind mit verschiedenen Nachteilen für die Benutzerfreundlichkeit verbunden, die sich in schlechten Online-Erfahrungen niederschlagen. Wenn sich der Kunde beispielsweise das Passwort nicht merken kann, das er für Ihre Website vergeben hat, kommt es häufig vor, dass er bei der nächsten Interaktion den Warenkorb einfach löscht, statt den Vorgang zum vergessenen Passwort zu durchlaufen. Wenn Sie Ihren Kunden dagegen eine passwortlose Authentifizierung anbieten, müssen diese keine Passwörter mehr erstellen, verwalten und sich merken (oder zurücksetzen). Ihre Benutzer können sich darauf verlassen, dass die Transaktionen durch bequeme Anmeldemechanismen wie Push-Benachrichtigungen und Gesichtserkennung optimiert werden.
Die passwortlose Authentifizierung fördert die Mitarbeiterproduktivität
Eine geringere Verwendung von Passwörtern reduziert auch die Notwendigkeit von Passwortrücksetzungen. Allein dadurch kann die Produktivität erheblich gesteigert werden, da sich die Ausfallzeiten verkürzen. Mit bequemeren und sichereren Authentifizierungsoptionen erhalten Ihre Benutzer einen schnelleren und einfacheren Zugang zu Ressourcen und sind weniger frustriert.
Einloggen ohne Passwörter senkt die Kosten
Die passwortlose Authentifizierung entlastet Ihren Helpdesk, da sie Anfragen zur Passwortrücksetzung und die damit verbundenen Kosten minimiert oder ganz eliminiert. Das passwortlose System spart auch Kosten, da es teure Token und Smartcards durch kostengünstigere Push-Benachrichtigungen und eine biometrische Authentifizierung über das Smartphone des Benutzers ersetzt.
Ist die Multifaktor-Authentifizierung identisch mit der passwortlosen Authentifizierung?
Die Antwort lautet Nein! Die Multifaktor-Authentifizierung liefert eine Methode, um das Vertrauen in die verlässliche Feststellung von Benutzeridentitäten zu steigern, indem bei der Genehmigung von Zugang zu Ressourcen ein zusätzlicher Authentifizierungsfaktor abgefragt wird. Im Gegensatz dazu erfolgt bei der passwortlosen Authentifizierung der Zugriff auf Ressourcen über einen Authentifizierungsfaktor, der kein Passwort ist. Anders als bei der MFA kann es bei der passwortlosen Authentifizierung auch vorkommen, dass es nur einen einzigen Faktor gibt, wie zum Beispiel bei biometrischen Verfahren. Wenn der Authentifizierungsprozess mehr als einen Faktor ohne Passwort vorsieht, dann handelt es sich um eine passwortlose MFA.
Ist die passwortlose Authentifizierung sicher?
Veränderungen führen oft zu Zweifeln und Unsicherheit. Im Falle der passwortlosen Authentifizierung lassen sich diese Bedenken leicht ausräumen. Die passwortlose Anmeldung ersetzt die Verwendung und Speicherung von Passwörtern durch Mechanismen, die bei der Authentifizierung höheren Schutz bieten, und sind daher von sich aus schon sicherer als die risikoreiche passwortbasierte Authentifizierung, auf die sich manche Unternehmen nach wir vor verlassen.
Die Basis bildet der FID02-Standard, der erste offene Identitätsstandard, der speziell zur Unterstützung der passwortlosen Authentifizierung entwickelt wurde. FIDO2 arbeitet mit der asymmetrischen Kryptographie (oder Public-Key-Kryptographie) und bietet damit die sicherste Methode der passwortlosen Authentifizierung. Die Zugangsdaten verlassen niemals das Gerät des Benutzers und werden nie auf einem Server gespeichert, weshalb sie auch nicht durch Phishing, Passwortdiebstahl oder Replay-Angriffe bedroht sind. Die passwortlose Authentifizierung unterstützt zudem den Einsatz ausgefeilter Technologien zur Erkennung von Bedrohungen und zur Risikominimierung, um die Sicherheit weiter zu steigern.
Wie funktioniert die passwortlose Authentifizierung?
Eine passwortlose Authentifizierung liegt immer dann vor, wenn ein anderer Authentifizierungsfaktor als ein Passwort verwendet wird. Ein Passwort ist ein Wissensfaktor, d. h. etwas, das Sie kennen. Es ist allerdings problematisch, sich allein auf einen Wissensfaktor zu verlassen, der gestohlen, weitergegeben, verschiedentlich verwendet und missbraucht werden kann und auch anderweitigen Risiken ausgesetzt ist. Die passwortlose Authentifizierung bedeutet letztendlich das Abschaffen von Passwörtern. Stattdessen stützt sie sich zum Zweck der höheren Gewissheit über die Identität eines Benutzers auf einen Besitzfaktor, das heißt, etwas das der Nutzer besitzt, oder auf einen inhärenten Faktor, das heißt etwas, das ihn kennzeichnet.
Welche Authentifizierungsmethode eignet sich am besten für den Verzicht auf Passwörter?
Bei der Bewertung der am besten geeigneten Authentifizierungsmethode sind verschiedene Aspekte jedes Faktortyps gegeneinander abzuwägen.
Wissensfaktoren: Etwas, das man kennt
Beispiele: PIN, der Name Ihres ersten Haustieres (auch bezeichnet als KBA, oder wissensbasierte Authentifizierung)
- Vorteile: Leichte Implementierung
- Nachteile: Kann vergessen oder gestohlen werden
Besitzfaktoren: Etwas, das Sie besitzen
Beispiele: Telefon, RSA-Schlüssel, E-Mail-Konto, FIDO-Authentifikator
- Vorteile: Die meisten sind aus der Ferne schwer zu stehlen
- Nachteile: Bedarf einer Alternative für den Fall eines Defekts oder Verlusts
Inhärente Faktoren: Etwas, das man ist
Beispiele: biometrische Faktoren wie Gesichtserkennung, Fingerabdruck-Scan, Stimmabdruck, EKG
- Vorteile: Kann nicht vergessen werden
- Nachteile: Ist gegebenenfalls von einem Gerät abhängig
Angesichts der Vielzahl der verfügbaren Authentifizierungsoptionen werden Sie sich vielleicht fragen, wie Sie das richtige Verhältnis zwischen Sicherheit, Benutzerfreundlichkeit und Kosten für Ihre Anwendungsfälle herausfinden können. Als Erstes prüfen Sie die verschiedenen von Ihnen verwendeten Anwendungen, ermitteln die jeweiligen Sicherheitsanforderungen und legen fest, für welche Benutzergruppen sie zugänglich gemacht werden sollten. Sobald Ihnen diese Informationen vorliegen, können Sie Zugangsszenarien einrichten, die das Ermitteln der optimalen Authentifizierungsmethode(n) für jede der Anwendungen erleichtern.
Wenn Sie mehr über die Bewertung von Authentifizierungsfaktoren für Ihre Anwendungsfälle erfahren möchten:
Wie wird die passwortlose Authentifizierung implementiert?
Die Journey zur passwortlosen Anmeldung beinhaltet verschiedene Schritte, von denen jeder zu signifikanten Verbesserungen für Benutzerfreundlichkeit und Sicherheit führen können. So gesehen ist es am aussichtsreichsten, die Implementierung der passwortlosen Anmeldung in mehreren Stufen vorzunehmen.
Der Prozess beginnt in der Regel mit der Ermittlung der wichtigsten zu erfüllenden Geschäftsanforderungen und dem Aussuchen erster Benutzer, um in der Anfangsphase der Bereitstellung wertvolles Feedback zu erhalten. Die hier gezeigte Skalierung soll ein Framework für die Implementierung der passwortlosen Anmeldung darstellen, ausgehend von der Zentralisierung der Authentifizierung. Je nach dem, welche spezifischen Anwendungen, Benutzerzielgruppen und Geschäftsanforderungen für Sie von Relevanz sind, kann Ihr Implementierungsprozess auch anders aussehen. Wenn Sie herausfinden möchten, wo Ihre Journey zur passwortlosen Anmeldung ansetzen soll, können Sie sich unseren Leitfaden herunterladen.
Anwendungsbeispiele für die passwortlose Anmeldung
Anwendungsbeispiel für die passwortlose Anmeldung Nr.1: Zugriff auf Ressourcen für Mitarbeiter
Ein gängiger Anwendungsfall im Personalbereich ist die vom Benutzerverhalten ausgehende, allmähliche Verringerung der Passwortaufforderungen. Wenn sich der gleiche Benutzer jeden Tag zur selben Zeit am selben Computer anmeldet, lässt sich ein typisches Verhaltensmuster festhalten. Sofern der Benutzer dieses Muster beibehält, können Sie die Aufforderungen zur Eingabe eines Passworts bei der Authentifizierung systematisch zurückfahren.
Sie könnten den Benutzer zum Beispiel während der ersten Woche bei jeder Anmeldung ein Passwort eingeben lassen. Wenn das Verhalten des Benutzers gleichbleibend ist, können Sie die Passwortaufforderungen auf einmal täglich während des ersten Monats reduzieren. Wenn er sein typisches Verhalten nicht ändert, könnten Sie anschließend ab dem zweiten Monat eine Passworteingabe pro Woche anfordern.
Zwei sehr gängige, kundenorientierte Anwendungsfälle für die passwortlose Authentifizierung sind zum einen der Zugriff von Konsumenten auf Prepaid-Kreditkarten und zum anderen der Zugriff von Versicherungssachverständigen auf die Versicherungsunterlagen und den Schadenverlauf von Kunden.
Anwendungsbeispiel für die passwortlose Anmeldung Nr.2: Verbraucherzugriff auf Geschenkkarten-Guthaben
Geschenkkarten sind sehr beliebt und machen laut der National Retail Federation bis zu 27,5 Milliarden US-Dollar der Verkäufe bei Urlaubsgeschenken aus. Bei Cyberkriminellen und anderen Dieben sind sie allerdings ebenso beliebt. Obwohl Übeltäter die Geschenkkarten auf viele Weisen stehlen und missbrauchen können, haben Einzelhändler ein verständliches Interesse daran, sie für die legitimierten Benutzer so bedienerfreundlich wie möglich zu halten, um beträchtliche Umsatzeinbußen zu vermeiden.
Hier bietet sich eine Gelegenheit für den Einsatz der passwortlosen Authentifizierung. Da sich der Kunde in fast allen Fällen mit seiner E-Mail-Adresse registriert hat, um Zugriff auf sein Kartenguthaben zu erhalten, könnte diese für das Zusenden eines Einmal-Authentifizierungscodes genutzt werden, den der Kunde beim ersten Zugriff auf die Karte von einem neuen Gerät eingeben muss. Sie könnten dem Benutzer auch vorschlagen, dem neuen Gerät zu vertrauen und sich dann per Fingerabdruck über das Gerät auszuweisen, damit er sich für eine gewisse Zeit lang nicht mehr erneut authentifizieren muss.
Anwendungsbeispiel für die passwortlose Anmeldung Nr.3: Zugriff von Versicherungssachverständigen auf Unterlagen
In der Versicherungsbranche hat die Sicherheit einen sehr hohen Stellenwert. Allerdings sollten die Sicherheitsmaßnahmen nicht so restriktiv ausfallen, dass sie den Zugang für diejenigen behindert, die ihn benötigen. Bei dieser Art von Anwendungsfall könnte eine Push-Benachrichtigung an eine telefonbasierte Authentifizierungs-App zum Einsatz kommen, die Fingerabdruck- oder Gesichtserkennung mit einem Backup-Faktor eines PIN-geschützten, variabel einsetzbaren FIDO-Authentifizierers wie z. B. einem YubiKey kombiniert. Weitere Informationen bietet unser Webinar.
Unter Verwendung dieser Kombination kann der Schadensregulierer sich unter normalen Bedingungen einloggen, indem er auf die Push-Benachrichtigung antwortet. Wenn er diese nicht erhalten hat oder darauf antworten kann, steht ihm immer noch der YubiKey als eine Fallback-Authentifizierungsmethode zur Verfügung. Da der YubiKey ein FIDO-Authentifikator ist und nicht an das Telefon oder den Laptop gebunden ist, kann der Schadensregulierer mit einer PIN den Authentifikator entsperren und erhält auf diese Weise Zugang. Die Sicherheit wird ohne Beeinträchtigung der Produktivität gewährleistet.
So kann Ihr Unternehmen mit PingZero eine passwortlose Authentifizierung einrichten
Sicherlich haben Sie die Vorteile der passwortlosen Authentifizierung erkannt. Vielleicht haben Sie sogar schon Ideen, wie Sie damit die Sicherheit erhöhen, die Kundenzufriedenheit verbessern, die Produktivität Ihrer Mitarbeiter steigern und Ihre IT-Kosten senken können. Auch wenn dies bereits ein guter Anfang ist, müssen Sie jetzt dranbleiben, um wirklich von den Vorteilen profitieren zu können.
Die Funktionen für die passwortlose Anmeldung von PingZero unterstützen Sie bei der Planung Ihrer Journey und liefern Ihnen eine Roadmap, mit der Sie noch heute loslegen und Ihrem Unternehmen das allmähliche Eindämmen des Passwortrisikos ermöglichen können. Wir haben acht Schritte für Sie herausgearbeitet, mit denen Sie von Benutzernamen und Passwörtern bis hin zur Anmeldung ohne Dateneingabe und kontinuierliche Authentifizierung gelangen.
Weitere Informationen über die Reifeskala der passwortlosen Anmeldung und die Planung Ihrer Journey zur passwortlosen Authentifizierung finden Sie in unserem Whitepaper.
Häufig gestellte Fragen zur passwortlosen Authentifizierung
Was ist mit passwortloser Anmeldung gemeint?
„Passwortlos“ bedeutet, dass der Einsatz von Passwörtern verringert oder ganz auf ihn verzichtet wird, indem einer oder mehrere alternative Authentifizierungsfaktoren angefordert werden, wenn sich Ihre Kunden und/oder Ihre Mitarbeiter auf Ihren Apps oder in Ihren Systemen anmelden. Mit der passwortlosen Anmeldung werden die Sicherheitsrisiken, die mit Passwörtern einhergehen, drastisch verringert und Sie können reibungslose Online-Erfahrungen liefern.
Ist die passwortlose Authentifizierung bereit für den Einsatz in Unternehmen?
Ja. Passwörter stellen heute für Unternehmen ein enormes Sicherheitsrisiko und eine Ursache für Reibung dar, insbesondere seit die Fernarbeit und die digitale Kundenerfahrung zu den wichtigsten geschäftlichen Prioritäten aufgestiegen sind. Infolgedessen sind die Initiativen zur passwortlosen Anmeldung für viele Unternehmen unterschiedlichster Größe zu einer Realität geworden, getragen von Fortschritten in den Bereichen Technologie, Sicherheit und Risikomanagement.
Ist die passwortlose Anmeldung dasselbe wie die MFA?
Nein. Bei der Multifaktor-Authentifizierung (MFA) müssen Benutzer einen zusätzlichen Authentifizierungsfaktor angeben, können aber trotzdem ein Passwort als Teil des Authentifizierungsprozesses verwenden. Im Gegensatz zur MFA kann die passwortlose Authentifizierung auch nur mit einem einzigen Authentifizierungsfaktor erfolgen, solange dieser Faktor kein Passwort ist.
Welche Arten von Authentifizierung gibt es?
Es gibt drei Kategorien von Authentifizierungsfaktoren: Wissensfaktoren (etwas, das der Nutzer weiß), Besitzfaktoren (etwas, das der Nutzer hat) und inhärente Faktoren (etwas, das der Nutzer ist). Da ein Passwort ein Wissensfaktor ist, stützt sich die passwortlose Authentifizierung eher auf die Besitz- oder inhärenten Faktoren.
Ist die passwortlose Authentifizierung sicherer als die Passwort-Authentifizierung?
Passwörter sind eine weit verbreitete Authentifizierungsmethode, aber sie bergen viele Sicherheitsrisiken. Hacker können sich mit gestohlenen oder erratenen Passwörtern leicht Zugang zu wichtigen Geschäftssystemen und Benutzerkonten verschaffen. Je mehr Passwörter sich die Benutzer merken müssen, desto wahrscheinlicher ist es, dass sie sich auf schlechte Praktiken wie die Wiederverwendung oder die Weitergabe von Passwörtern verlegen. Die passwortlose Authentifizierung ist sicherer, weil sie die mit Passwörtern verbundene Risiken reduziert oder ganz beseitigt, aber dennoch sicherstellt, dass die Benutzer ordnungsgemäß authentifiziert werden.